Semperis und Akamai: Koop zur Bekämpfung von Active-Directory-Schwachstellen.
Semperis, Anbieter von KI-gestützter Identitätssicherheit und Cyber-Resilienz, gibt neue Erkennungsfunktionen in seiner Directory-Services-Protector (DSP)-Plattform zur Abwehr von „BadSuccessor“, eine Rechteausweitungstechnik mit hohem Schweregrad, die auf ein neu eingeführtes Feature in Windows Server 2025 abzielt, bekannt.
Die Verbesserungen, die in direkter Zusammenarbeit mit dem Akamai-Forschungsteam, das die Schwachstelle entdeckt hat, entwickelt wurden, ermöglichen es Unternehmen, Exploit-Versuche zu erkennen und darauf zu reagieren, bevor Angreifer Berechtigungen ausweiten und die Domäne kompromittieren können.
BadSuccessor nutzt delegierte verwaltete Dienstkonten (delegated Managed Service Accounts, dMSAs), eine neue Funktion von Windows Server 2025, die die Sicherheit von Dienstkonten verbessern soll, aus. Forscher von Akamai haben gezeigt, wie Angreifer dMSAs missbrauchen können, um sich in Active Directory (AD) als Benutzer mit hohen Rechten, darunter auch Domain-Admins, auszugeben. Derzeit ist kein Patch verfügbar.
Dieser Exploit-Vektor mit hohem Schweregrad unterstreicht eine seit langem bestehende Herausforderung für die Identitätssicherheit von Unternehmen: die Verwaltung von Dienstkonten. Diese Konten arbeiten oft mit übermäßigen oder nicht überwachten Rechten und schaffen versteckte Angriffspfade, die ausgenutzt werden können.
Als Reaktion darauf aktualisierte Semperis seine DSP-Plattform mit einem neuen Indicator of Exposure (IOE) und drei Indicators of Compromise (IOCs), um abnormales dMSA-Verhalten zu erkennen. Diese Indikatoren helfen Sicherheitsteams, übermäßige Delegierungsrechte, böswillige Verknüpfungen zwischen dMSAs und privilegierten Konten sowie Versuche, sensible Konten wie KRBTGT ins Visier zu nehmen, zu erkennen.
Die Sicherheitsanfälligkeit betrifft jede Organisation mit mindestens einem Domänencontroller (DC) unter Windows Server 2025. Selbst ein einziger falsch konfigurierter DC kann zu Risiken in der gesamten Umgebung führen. Bis zur Veröffentlichung eines Patches werden Unternehmen dringend aufgefordert, dMSA-Berechtigungen zu überprüfen und mit erweiterten Erkennungstools wie Semperis DSP auf Anzeichen von Missbrauch zu achten.
Schnelle Reaktion von Semperis
„Semperis hat schnell gehandelt, um die Schwachstelle in reale Erkennungsfunktionen für Verteidiger umzusetzen und damit zu zeigen, wie die Zusammenarbeit zwischen Forschern und Anbietern zu schnellen, sinnvollen Auswirkungen führen kann“, so Yuval Gordon, Security Researcher bei Akamai. „Der Missbrauch von Dienstkonten ist ein wachsendes Problem, und diese hochkarätige Sicherheitslücke ist ein Weckruf.“
„Dienstkonten sind nach wie vor eine der am wenigsten kontrollierten, aber dennoch leistungsfähigsten Ressourcen in Unternehmensumgebungen“, sagt Tomer Nahum, Security Researcher bei Semperis. „Diese Zusammenarbeit mit Akamai ermöglichte es uns, Erkennungslücken schnell zu schließen und Verteidigern Einblick in einen äußerst komplexen Bereich von Active Directory zu geben, den Angreifer weiterhin ausnutzen.“
Weitere Informationen zur Abwehr von BadSuccessor bietet Semperis auf seinem Blog.